РИА Новости сообщают, что правоохранители России и Евросоюза пресекли деятельность международной группировки, похитившей персональные данные десятков тысяч человек в банках РФ и странах ЕС.

Утверждается, что около месяца назад была проведена "точечная операция", в ходе которой немецкие полицейские помогли раскрыть преступную сеть, находившуюся за пределами России, которая воровала данные наших граждан и хранила их на серверах в Европе. 😱

Пока никаких других подробностей нет. 🤷‍♂️

Разработчик игр «Valve» признали утечку исходного кода движка «CS:GO» и заявили, что этот код был передан партнерам компании в 2017 году и уже попадал в паблик в 2018. 🙈

В данный момент в торрентах доступен архив размером 4,92 Гб, содержащий исходные коды «CS:GO». В архиве 23,289 файлов, общим размером около 10 Гб.

В директории с исходниками два проекта: «Counter Strike: Global Offensive» (релиз «Operation Hydra») и «Team Fortress 2» (апдейт «Jungle Inferno»).

Большинство .CPP и .H файлов датировано 21.04.2018 и 22.04.2018.

27.03.2020 система DeviceLock Data Breach Intelligence обнаружила свободно доступный Elasticsearch-сервер, в индексах которого содержались логи системы автоматизации ресторанов «iiko» (iiko.ruiiko.ru).

Судя по названиям индексов (iiko-navision-papajohns-integration), сервер обслуживал «Papa John's Pizza». А из логов стало понятно, что речь идет о сети «Papa John's Pizza» в ОАЭ:

"Timestamp": "2020-03-26T03:30:01.4601373+04:00",
"MessageTemplate": "External HTTP request: GET http://uae-chain-papajohns.iiko.it:9080/resto/api/suppliers?key=93de4431-***",

(некоторые данные мы скрыли звездочками)

http://uae-chain-papajohns.iiko.it:9080/resto/api/suppliers?key=93de4431-***",

(некоторые данные мы скрыли звездочками)

В логах содержался логин и хешированный (SHA1) пароль пользователя системы (Egor Navision) - минимально достаточная информация для получения ключа доступа key (показан выше) к остальным вызовам API:

"@timestamp": "2020-03-25T23:00:08.974Z",
"MessageTemplate": "External HTTP response: OK | GET http://uae-chain-papajohns.iiko.it:9080/resto/api/auth?login=egor&pass=f02638411c85faffc409***"

@timestamp": "2020-03-25T23:00:08.974Z",
"MessageTemplate": "External HTTP response: OK | GET http://uae-chain-papajohns.iiko.it:9080/resto/api/auth?login=egor&pass=f02638411c85faffc409***"

Помимо перечисленных выше запросов к API, в логах были вызовы, вероятно возвращающие информацию о сотрудниках, закупках и т.п.:

uae-chain-papajohns.iiko.it:9080/resto/api/employees?key=
uae-chain-papajohns.iiko.it:9080/resto/api/suppliers?key=

uae-chain-papajohns.iiko.it:9080/resto/api/employees?key=
uae-chain-papajohns.iiko.it:9080/resto/api/suppliers?key=

Кроме того, легко “расшифровываемый” пароль потенциально мог открывать доступ к другой системе с данными клиентов и заказов.

Мы немедленно оповестили компанию «iiko» (в том числе порекомендовали сменить пароли доступа к системам) и буквально через несколько часов получили от них ответ “Спасибо”, а доступ к серверу был закрыт. 👍

По данным Shodan данный сервер впервые появился в открытом доступе 16.03.2020. К моменту, когда мы его обнаружили на нем уже “побывал” червь «nightlionsecurity.comnightlionsecurity.com», про который мы писали тут. 😎

Обработали около 13,5 млн. утекших паролей игровой тематики:👇

1️⃣ Silkroad Online - база пользователей MMROG-игры была взломана в 2012 году, но в открытом доступе появилась только 22.04.2020. Из 11,5 млн. пар логин/пароль только 18% оказались уникальными.

2️⃣ flashgames.itflashgames.it - база пользователей итальянского игрового портала была взломана 26.03.2020 и попала в открытый доступ 23.04.2020. Из почти 2 млн. пар логин/пароль 85% оказались уникальными и никогда ранее не встречались в утечках. 👍

В городе Алдан (Якутия) произошла утечка информации о заболевших и сдавших тесты на COVID-19.

Глава Алданского района заявил, что власти сейчас выявляют лиц, распространяющих конфиденциальную информацию, касающуюся персональных данных людей, которые лечатся или сдали анализы на коронавирусную инфекцию.


Ранее мы писали про подобные случаи в Московской области, Воронежской области, Чувашской Республике, Оренбурге, Дагестане и на Алтае.

«Известия» пишут про сливы данных пациентов с коронавирусом: 👇

По словам эксперта по системам предотвращения утечек информации Ашота Оганесяна, пока это все же единичные инциденты.

Кто и зачем этим занимается, остается только догадываться. «Очевидно, это не коммерческие сливы. Не могу представить, кто может купить данные больных коронавирусом. Скорее всего, утечку допускают сами же обеспокоенные чиновники или сотрудники медучреждений. Иногда даже видно, что снимок сделали на телефон с большого расстояния. Будто бумага лежала на столе, а, к примеру, секретарша подошла — и щелкнула», — предполагает Оганесян.

В результате оперативно-розыскных мероприятий сотрудники полиции в Одинцовском районе Московской области задержали 23-летнего местного жителя, подозреваемого в краже денежных средств со счетов клиентов банка, в котором он работал.

Подозреваемый, являясь сотрудником кредитной организации, после осуществления банковских операций оставлял себе данные клиентов, а затем, через мобильное приложение банка, переводил средства потерпевших на свой счет. 🤦🏻‍♂️

В ходе следствия сотрудники полиции установили причастность задержанного к противоправным деяниям в отношении 67-летней женщины и двоих мужчин в возрасте 40 и 65 лет. Общая сумма материального ущерба составила около 2 миллионов 300 тысяч рублей.

Следствием возбуждены уголовные дела по признакам преступления, предусмотренного статьей 158 УК РФ (кража). В отношении подозреваемого избрана мера пресечения в виде заключения под стражу.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Продолжаем пополнять “коллекцию” паролями, утекшими с ресурсов игровой тематики.

В 2017 году форум игры «Sword Fantasy Online» пострадал от утечки 3,2 млн. записей пользователей. В том числе утекли хешированные (MD5 с солью) пароли.

Из почти 1,3 млн. “расшифрованных” паролей и логинов (эл. почта), около 81% пар оказались уникальными и ранее не встречались в утечка.

На форум «Phreaker» выложили базу данных «Хабр-Карьера» (career.habr.comcareer.habr.com) в формате Cronos.

В базе 165,924 анкеты, содержащих:

🌵 имя/фамилия
🌵 телефон
🌵 адрес эл. почты
🌵 фотографию
🌵 ссылку на профиль
🌵 дату регистрации

РБК пишет:

В Сеть попали данные граждан, обращавшихся за оформлением займов в микрофинансовых организациях.

По словам продавца, база содержит информацию о 12 млн физических лиц, которые оформляли быстрые займы в 2017–2019 годах.

В бесплатном пробнике содержатся данные около 1,8 тыс. клиентов: Ф.И.О., паспортные данные, дата рождения, номер телефона, адрес электронной почты, регион проживания, номера электронных кошельков и сумма займа.

В записи о каждом клиенте указана реферальная ссылка, то есть ссылка на сайт, который «привел» пользователя, — в большинстве случае это финансовый маркетплейс «Юником24», позволяющий подобрать и оформить кредитные продукты.

Бывший сотрудник оренбургского офиса одного из крупных операторов мобильной связи скопировал для личного пользования персональные данные абонентов.

40-летний подозреваемый также получил доступ к кодам активации сим-карт, что позволило ему после увольнения клонировать сим-карты некоторых абонентов и получать доступ к их банковским счетам (видимо речь идет о СМС-переводах 🤷‍♂️).

По данным правоохранителей, от действий злоумышленника пострадали 58 человек, а ущерб составил более 450 тысяч рублей. На время следствия он находится под домашним арестом.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Коллеги с канала @In4security написали, что в продаже появился список российских граждан, находящихся за границей в ожидании эвакуации на родину. 🔥🔥🔥

Продавец утверждает, что в файле 79,653 строки и 58 столбцов, включая:👇

🌵 ФИО  
🌵 дата рождения  
🌵 серия, номер паспорта, кем и когда выдан
🌵 адрес фактического проживавния
🌵 телефон  
🌵 адрес/электронной почты
🌵 дата выезда/въезда из РФ  
🌵 дата подачи заявления на ЕПГУ (Единый Портал Государственных Услуг)
🌵 через сколько дней прибыл в РФ после подачи заявления на ЕПГУ
🌵 номер банковской карты, имя на карте, срок действия, название банка, номер расчетного счета

Базу пытаются продать за $240 тыс. (в биткоинах). 😱

Несколько недель назад мы писали про “деанон” мошенников, стоящих за схемами отъема денег у доверчивых граждан при оптовых закупках медицинских масок на сайтах 2maski.ru2maski.ru, maski2.rumaski2.ru и т.п..

И вот сейчас появилось новое расследование, судя по всему частично опирающееся на первое, но доведенное до логического конца – выявлены предполагаемые мошенники и места их проживания. 👍

Сегодня ночью на Pikabu появилась статья, являющаяся “пробной версией” полного расследования, которое выкладывается на Medium. Уже выложено 3 части и скоро обещают 4-ю: 👇

1️⃣ https://medium.com/@maskimaski234/2maski-ru-1-1430fa8d96b9

2️⃣ https://medium.com/@maskimaski234/maski2-ru-2-f05020ddba97

3️⃣ https://medium.com/@maskimaski234/2maski-ru-3-tuganbaev-oleg-d5526d040b30

Будем следить за развитием этой истории. 😎

Прокуратура Саратовской области утвердила обвинительное заключение в отношении преступной группы, состоящей из пяти жителей Санкт-Петербурга, Курганской и Волгоградской областей.

В период с 2018 года по февраль 2019 года они незаконно получали доступ к персональным данным клиентов, по счетам которых долгое время не было движения. Путем вклеивания фотографий в поддельные паспорта оформляли доверенность у нотариуса на распоряжение средствами на одного из участников группировки, после совершали финансовые операции в банке.

Все эти услуги (подбор счетов без движения, “переклей” паспорта) легко доступны на теневых форумах. 😎

Всего им удалось похитить более 18 млн рублей.

Уголовное дело по ч. 4 ст. 159 УК РФ (мошенничество) направлено в суд Саратова.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

В Telegram-канал 112 выложили сканы списков заразившихся COVID-19 сотрудников НИИ скорой помощи им. И.И Джанелидзе.

В списках - результаты тестов 243 человек, включая ФИО, дату рождения (замазана), дату проведения теста.

2-го мая на англоязычном форуме появился кусок дампа базы данных пользователей крупнейшей индонезийской компании электронной коммерции Tokopedia.comTokopedia.com.

Частичный дамп базы данных PostgreSQL содержит 14,999,897 строк, в которых находятся:

🌵 имя/фамилия
🌵 адрес эл. почты
🌵 телефон
🌵 пол
🌵 дата рождения
🌵 хешированный (SHA2-384) пароль (8,677,284 строк)
🌵 дата создания/последнего обновления профиля и последнего входа в систему (самая "свежая" - 17.04.2020)

Полный дамп пользователей Tokopedia.comTokopedia.com содержит 91 млн. строк и продается за $5000 на даркнет форуме «Empire Market». На текущий момент продано 2 копии этой базы. 😎

В Нововоронеже (Воронежская область) завершено расследование уголовного дела против 29-летней бывшей сотрудницы микрофинансовой организации (МФО), которая в феврале 2020 года скопировала данные клиентов.

Уволившаяся по собственному желанию менеджер, решила навредить бывшему работодателю. Она воспользовалась корпоративной почтой и телефоном, чтобы уничтожить и скопировать электронные письма, а также скачать 17 баз данных, содержащих персональную информацию о клиентах, в том числе номера  мобильных телефонов.

Девушка полностью признала вину, в содеянном раскаялась и принесла свои извинения представителям потерпевшей организации.

Уголовное дело, возбужденное по ч.1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации) передано в суд. Девушке грозит до 2 лет лишения свободы.


Про случаи задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными читайте в отчете: 👇

https://www.devicelock.com/ru/blog/pojmat-i-nakazat-kak-v-rossii-lovyat-i-nakazyvayut-za-nezakonnuyu-torgovlyu-personalnymi-dannymi-chast-2.html

Известия пишут:

В России стали чаще наказывать банковских сотрудников, использующих данные россиян в личных целях. В начале 2020-го количество судебных дел, которые касались хищения денег с использованием должностного положения, было больше, чем за весь прошлый год.

Такие данные содержатся в исследовании DeviceLock (есть у «Известий»). В связи с переходом на удалённую работу количество утечек информации возросло, но инсайдеры предпочитают и собственноручно применять часть украденных данных, считают эксперты по кибербезопасности.

По данным исследования, только в первом квартале 2020 года число судебных дел против сотрудников кредитных организаций, которые в личных целях использовали персональные сведения клиентов, превысило их объем за весь 2019-й. В начале 2020-го было открыто более 20 судебных дел, а за весь 2019 год начали расследовать лишь 15 кейсов.

В очередной раз данные пользователей соцсетей и мессенджера Telegram оказались в свободном доступе. 🔥🔥

Система DeviceLock Data Breach Intelligence обнаружила свободно доступный сервер Elasticsearch, в индексах которого содержатся данные собранные парсингом профилей социальных сетей Facebook, Instagram, Twitter, LinkedIn, Google+, а также пользователей Telegram и некоторых блог-платформ.

В частности, собрано записей:

🌵 Telegram - более 114 млн. (всего 1,5 тыс. с телефонами +7)
🌵 Facebook - более 19 млн.
🌵 Instagram - более 212 млн.
🌵 Twitter - более 15 млн.

Как обычно напоминаем, что парсинг публичных данных сервиса, т.е. это не утечка. Однако, подобный сбор данных профилей пользователей, как правило запрещен лицензионными соглашениями сервисов. 😎

Сервер впервые “засветился” в свободном доступе 29.04.2020.

Принадлежность сервера установить не удалось, но по косвенным признакам мы выяснили, что он связан с Ираном (принадлежит иранскому рекламному агентству, либо агентству работающему по Ирану). 😱